לקראת סייברטק 2022: ה-CTO של מעבדת החדשנות ב-NTT ישראל מסביר על חשיבות גישת Zero Trust
״לאמץ את מודל אפס אמון אשר למעשה דוגל בגישה שלא בוטחת באף אחד, כנראה תהיה ההחלטה הנכון ביותר לעשות בשנת 2022״, מסביר משה קרקו, ה-CTO של מעבדת החדשנות של NTT ישראל
ישראל דיפנס
| 15/02/2022
משה קרקו | צילום: מיכל לוי
אפס אמון או בשמו הלועזי, ‘Zero Trust’, היא דוקטרינת אבטחת מידע המניחה מראש מצב שבו האקרים, תוכנות זדוניות (Malwares) או וירוסים כבר הצליחו לחדור מבעד לשכבות אבטחת המידע של החברה ומתוך הנחה זו, כל שנותר זה למזער את יכולתם לנוע ברשת הפנימית (Lateral movement), לגשת למידע, לחדור למערכות נוספות או לשבש את פעולתן.
הארגונים של היום זקוקים למודל אבטחה חדש אשר מסתגל בצורה יעילה יותר למורכבות הסביבה המודרנית, לנורמות של עבודה מרחוק ומעבר לענן. מודל אשר מאמץ את תפישת מקום העבודה ההיברידי ומגן על אנשים, מכשירים, אפליקציות ונתונים בכל מקום שבו הם נמצאים.
לאמץ את מודל אפס אמון אשר למעשה דוגל בגישה שלא בוטחת באף אחד, כנראה תהיה ההחלטה הנכון ביותר לעשות בשנת 2022.
במקום להניח שכל מה שמאחורי חומת האש הארגונית (Fire wall) בטוח, מודל ה- Zero Trust מניח שכל פריצה וכל בקשה כאילו מקורן ברשת פתוחה. ללא קשר למקור הבקשה או לאיזה משאב היא ניגשת, Zero Trust מלמד אותנו "לעולם לא לסמוך ותמיד לאמת."
לכן, כל בקשת גישה מאומתת, מורשית ומוצפנת במלואה לפני מתן גישה. עקרונות מיקרו-סגמנטציה ועקרונות הגישה המינימלית מיושמים כדי למזער את אפשרות התנועה מחוץ לאזור המורשה. מודיעין וניתוח נתוני רשת מאפשרים זיהוי ותגובה בזמן-אמת לכל חריגה.
עקרונות דוקטרינת אפס-אמון
אמת את זהות הגורמים במערכת (Verify explicitly). בצע אימות ואישור תמידי על סמך כל נקודות הנתונים הזמינות, כולל זהות המשתמש, מיקום, תקינות המכשיר, שירות או עומס עבודה, סיווג נתונים וחריגות.
השתמש בגישה הכי פחות מוסמכת (Least privileged access), הגבל את גישת המשתמש בזמן-אמת על פי הצורך של גישה זו (JIT/JEA או just-in-time / just-enough-access). יש לתחום את גישת המשתמש לצורך של אותה גישה ספציפית כך שמשתמש מסוים מקבל את הגישה המינימלית ביותר האפשרית לסוג הפעילות המתבצעת כעת על פי הצורך מגישה זו.
במילים אחרות, משתמש שצריך, למשל, גישת קריאה בלבד למספר מסמכים מצומצם על מכונה מסוימת מקבל את זכות הגישה הזו בלבד ובמשך זמן הגישה הזו בלבד.
צא תמיד מנקודת הנחה שהרשת נפרצה (Assume breach), צמצם למינימום את רדיוס הגישה לפלח הרשת עבור כל משתמש או שירות מסוימים. אמת הצפנה מקצה לקצה והשתמש בניתוח תעבורה כדי להשיג נראות ולמקסם זיהוי איומים.
במבט ראשוני העקרונות האלו נראים מסובכים ליישום, בייחוד במערכות קיימות, אבל אם נפרק את הדרישות האלו לתת משימות מוגדרות, ניתן יהיה לממש את דוקטרינת אפס האמון מבלי לפגוע בפרודוקטיביות של הארגון ומבלי לסבך את המערכות הארגוניות. תהליך יישום דוקטרינת אפס-אמון צריך להתחיל מבניית מפת דרכים מבוססת מטרות ולוחות זמנים הכוללת נקודות דרך ברורות ומדידות בכל שלב.
אלמנטים במפת דרכים
ניהול זהויות - איך גורמים שונים מזדהים בארגון ומה רמות הגישה המוקצות לכל זהות כזו כאשר עקרון הגישה המינימלית מנחה אותנו. מי מחזיק זכויות יתר ואיך מטפלים בזהויות שכבר לא נחוצות (off boarding).
נקודות קצה - יש לייצר נראות לנקודות הקצה, מה מותקן שם, היכן הן והאם הן מאובטחות כראוי. איך נוודא שכל נקודת קצה מאובטחת מספיק לפניי שהיא תקבל הרשאות גישה.
אפליקציות - אילו אפליקציות מותקנות בארגון ומה רמות הגישה וההרשאות הנדרשות לתפקודן התקין. האם יש לנו אפליקציות בעלות הרשאות-יתר בארגון?
ניהול מידע – איפה נמצא המידע שלנו בארגון, אילו הרשאות גישה יש למידע זה, אילו גיבויים יש לנו והאם הם "חמים" או "קרים" ומהן התוכניות שלנו למקרה של זליגת מידע (זה הזמן לדון באפשרויות הצפנה), מהם הפתרונות שיש לנו במקרה של מחיקת מידע בטעות או בזדון.
אבטחת רשת – יש לוודא שהמכשירים והמשתמשים לא מקבלים אמון רק מפני שהם נמצאים ברשת הפנימית. יש להצפין את כל התקשורת הפנימית, להגביל את הגישה לפי מדיניות מסודרת, להשתמש בסגמנטציה ולממש פתרונות לזיהוי איומים בזמן אמת.
ניהול תשתיות – אספו טלמטריה ויישמו מדיניות בידוד ונטרול של כל חריגה. השתמשו במערכות או שירותים המדמים חדירה (Penetration testing), תנועה לא מורשית (Lateral movement) ותקיפות נוספות.
פיתוח מודעות – הכינו תוכנית הדרכה ופרוטוקולים מסודרים לצוותים השונים בארגון כגון אנשי IT, צוותי אבטחת מידע ואנשים הנמצאים בצמתי קבלת החלטות בזמן אירוע כגון חדירת רוגלה לארגון ותרגלו מודעות לאיומים מקטגורית ההנדסה החברתית (Social engineering) כגון דיוג (Phishing).
לסיכום ניתן לומר שדוקטרינת אפס-אמון היא, למעשה, אוסף הכללים ודרכי החשיבה המתקדמים ביותר הקיימים היום לאבטחת ארגונים מפני המערך ההולך וגדל של איומי סייבר. דוקטרינה זו מאפשרת הערכות מראש למצבי קצה ובנויה להתמודד עם מירב האיומים המוכרים כמו-גם עם אותם איומים שאיננו מכירים עדיין והמכונים פרצות יום-אפס (Zero day).
כיוון שדוקטרינת אפס-אמון נוקטת גישה מחמירה בהגבלת גישה לא-מורשית היא יכולה למנוע, במצבים מסוימים, גם מיקרים של גניבה בידי מורשה, אותן זליגת מידע וחדירות המתרחשות בשוגג או במזיד על ידי עובדי הארגון עצמו.
משה קרקו, ה-CTO של מעבדת החדשנות של NTT ישראל NTT Innovation Laboratory Israel-, ישתתף וינחה את הפאנל בנושא Zero trust strategy במסגרת אירוע NTT, your gateway to Japan and the world בכנס CYBERTECH GLOBAL TEL-AVIV https://www.cybertechisrael.com/events/ntt-your-gateway-japan-and-world.
״לאמץ את מודל אפס אמון אשר למעשה דוגל בגישה שלא בוטחת באף אחד, כנראה תהיה ההחלטה הנכון ביותר לעשות בשנת 2022״, מסביר משה קרקו, ה-CTO של מעבדת החדשנות של NTT ישראל
משה קרקו | צילום: מיכל לוי
אפס אמון או בשמו הלועזי, ‘Zero Trust’, היא דוקטרינת אבטחת מידע המניחה מראש מצב שבו האקרים, תוכנות זדוניות (Malwares) או וירוסים כבר הצליחו לחדור מבעד לשכבות אבטחת המידע של החברה ומתוך הנחה זו, כל שנותר זה למזער את יכולתם לנוע ברשת הפנימית (Lateral movement), לגשת למידע, לחדור למערכות נוספות או לשבש את פעולתן.
הארגונים של היום זקוקים למודל אבטחה חדש אשר מסתגל בצורה יעילה יותר למורכבות הסביבה המודרנית, לנורמות של עבודה מרחוק ומעבר לענן. מודל אשר מאמץ את תפישת מקום העבודה ההיברידי ומגן על אנשים, מכשירים, אפליקציות ונתונים בכל מקום שבו הם נמצאים.
לאמץ את מודל אפס אמון אשר למעשה דוגל בגישה שלא בוטחת באף אחד, כנראה תהיה ההחלטה הנכון ביותר לעשות בשנת 2022.
במקום להניח שכל מה שמאחורי חומת האש הארגונית (Fire wall) בטוח, מודל ה- Zero Trust מניח שכל פריצה וכל בקשה כאילו מקורן ברשת פתוחה. ללא קשר למקור הבקשה או לאיזה משאב היא ניגשת, Zero Trust מלמד אותנו "לעולם לא לסמוך ותמיד לאמת."
לכן, כל בקשת גישה מאומתת, מורשית ומוצפנת במלואה לפני מתן גישה. עקרונות מיקרו-סגמנטציה ועקרונות הגישה המינימלית מיושמים כדי למזער את אפשרות התנועה מחוץ לאזור המורשה. מודיעין וניתוח נתוני רשת מאפשרים זיהוי ותגובה בזמן-אמת לכל חריגה.
עקרונות דוקטרינת אפס-אמון
אמת את זהות הגורמים במערכת (Verify explicitly). בצע אימות ואישור תמידי על סמך כל נקודות הנתונים הזמינות, כולל זהות המשתמש, מיקום, תקינות המכשיר, שירות או עומס עבודה, סיווג נתונים וחריגות.
השתמש בגישה הכי פחות מוסמכת (Least privileged access), הגבל את גישת המשתמש בזמן-אמת על פי הצורך של גישה זו (JIT/JEA או just-in-time / just-enough-access). יש לתחום את גישת המשתמש לצורך של אותה גישה ספציפית כך שמשתמש מסוים מקבל את הגישה המינימלית ביותר האפשרית לסוג הפעילות המתבצעת כעת על פי הצורך מגישה זו.
במילים אחרות, משתמש שצריך, למשל, גישת קריאה בלבד למספר מסמכים מצומצם על מכונה מסוימת מקבל את זכות הגישה הזו בלבד ובמשך זמן הגישה הזו בלבד.
צא תמיד מנקודת הנחה שהרשת נפרצה (Assume breach), צמצם למינימום את רדיוס הגישה לפלח הרשת עבור כל משתמש או שירות מסוימים. אמת הצפנה מקצה לקצה והשתמש בניתוח תעבורה כדי להשיג נראות ולמקסם זיהוי איומים.
במבט ראשוני העקרונות האלו נראים מסובכים ליישום, בייחוד במערכות קיימות, אבל אם נפרק את הדרישות האלו לתת משימות מוגדרות, ניתן יהיה לממש את דוקטרינת אפס האמון מבלי לפגוע בפרודוקטיביות של הארגון ומבלי לסבך את המערכות הארגוניות. תהליך יישום דוקטרינת אפס-אמון צריך להתחיל מבניית מפת דרכים מבוססת מטרות ולוחות זמנים הכוללת נקודות דרך ברורות ומדידות בכל שלב.
אלמנטים במפת דרכים
ניהול זהויות - איך גורמים שונים מזדהים בארגון ומה רמות הגישה המוקצות לכל זהות כזו כאשר עקרון הגישה המינימלית מנחה אותנו. מי מחזיק זכויות יתר ואיך מטפלים בזהויות שכבר לא נחוצות (off boarding).
נקודות קצה - יש לייצר נראות לנקודות הקצה, מה מותקן שם, היכן הן והאם הן מאובטחות כראוי. איך נוודא שכל נקודת קצה מאובטחת מספיק לפניי שהיא תקבל הרשאות גישה.
אפליקציות - אילו אפליקציות מותקנות בארגון ומה רמות הגישה וההרשאות הנדרשות לתפקודן התקין. האם יש לנו אפליקציות בעלות הרשאות-יתר בארגון?
ניהול מידע – איפה נמצא המידע שלנו בארגון, אילו הרשאות גישה יש למידע זה, אילו גיבויים יש לנו והאם הם "חמים" או "קרים" ומהן התוכניות שלנו למקרה של זליגת מידע (זה הזמן לדון באפשרויות הצפנה), מהם הפתרונות שיש לנו במקרה של מחיקת מידע בטעות או בזדון.
אבטחת רשת – יש לוודא שהמכשירים והמשתמשים לא מקבלים אמון רק מפני שהם נמצאים ברשת הפנימית. יש להצפין את כל התקשורת הפנימית, להגביל את הגישה לפי מדיניות מסודרת, להשתמש בסגמנטציה ולממש פתרונות לזיהוי איומים בזמן אמת.
ניהול תשתיות – אספו טלמטריה ויישמו מדיניות בידוד ונטרול של כל חריגה. השתמשו במערכות או שירותים המדמים חדירה (Penetration testing), תנועה לא מורשית (Lateral movement) ותקיפות נוספות.
פיתוח מודעות – הכינו תוכנית הדרכה ופרוטוקולים מסודרים לצוותים השונים בארגון כגון אנשי IT, צוותי אבטחת מידע ואנשים הנמצאים בצמתי קבלת החלטות בזמן אירוע כגון חדירת רוגלה לארגון ותרגלו מודעות לאיומים מקטגורית ההנדסה החברתית (Social engineering) כגון דיוג (Phishing).
לסיכום ניתן לומר שדוקטרינת אפס-אמון היא, למעשה, אוסף הכללים ודרכי החשיבה המתקדמים ביותר הקיימים היום לאבטחת ארגונים מפני המערך ההולך וגדל של איומי סייבר. דוקטרינה זו מאפשרת הערכות מראש למצבי קצה ובנויה להתמודד עם מירב האיומים המוכרים כמו-גם עם אותם איומים שאיננו מכירים עדיין והמכונים פרצות יום-אפס (Zero day).
כיוון שדוקטרינת אפס-אמון נוקטת גישה מחמירה בהגבלת גישה לא-מורשית היא יכולה למנוע, במצבים מסוימים, גם מיקרים של גניבה בידי מורשה, אותן זליגת מידע וחדירות המתרחשות בשוגג או במזיד על ידי עובדי הארגון עצמו.
משה קרקו, ה-CTO של מעבדת החדשנות של NTT ישראל NTT Innovation Laboratory Israel-, ישתתף וינחה את הפאנל בנושא Zero trust strategy במסגרת אירוע NTT, your gateway to Japan and the world בכנס CYBERTECH GLOBAL TEL-AVIV https://www.cybertechisrael.com/events/ntt-your-gateway-japan-and-world.
